CN104301330A - 基于异常行为监测和成员亲密度测量的陷阱网络检测方法 - Google Patents

Abstract

基于异常行为监测和成员亲密度测量的陷阱网络检测方法，步骤如下：1)网络事件监测；2)网络异常事件监测；3)网络用户亲密度测量；4)网络事件风险系数计算；5)网络陷阱预警。本发明的方法能够给用户提供可靠的安全保障，还不影响用户正常接入网络，用户既可以享受无处不在的网络带来的便利又不用担心随之而来的风险。

Description

基于异常行为监测和成员亲密度测量的陷阱网络检测方法

技术领域

本发明设计了一个在普适计算环境下通过网络异常事件监测和网络成员亲密度测量来发现陷阱网络的方法，属于网络安全和智能检测及分类等数据分析技术领域。适用于陷阱网络检测全过程信息化、智能化、规范化、流程化处理系统。

背景技术

随着移动设备的普及(特别是智能手机)，无线网络安全方面问题也越来越凸显。人们在享受着无处不在的无线网络所带来的便利性的同时也需面对越来越多的安全问题，例如个人信息丢失、身份盗窃等等。

带有无线网络接入功能的移动设备(例如智能手机)正变得越来越流行，当一个人走在大街上或者进入了拥有无线网络的人流集中地，那么他就可以很容易的将他的设备接入一个未知的无线网络中。这对设备持有者来说是个很方便的事，但会给他的个人信息和财产带来巨大的安全隐患。如果这个未知的无线网络是一个陷阱网络，这个网络的其它成员属于一个别有用心的组织，那么他们会勾结在一起来欺骗该设备持有者，设备持有者也因此会遭受损失。

一方面，由于用户经通常需要接入未知的无线网络，陷阱网络因此成为突破移动设备安全防护的重要途径。另一方面，由于陷阱网络中的骗子常以团伙形式来欺骗用户，因此用户很容易受骗。这样的事情在现实生活中每天都会发生。

举个例子，当一个用户在旅途中加入一个自组网中，他想获得一些本地的便宜餐馆或者纪念品商店的信息，他加入到一个本地的网络中并要求获得一些帮助，所有的其它成员都建议同一家餐馆或纪念品店，并告诉该用户价格非常便宜，但是最后等该用户到了那家餐馆或商店后才发现价格并不如建议上说的那么便宜。

再举一个例子，当一个用户加入到一个自组网时，该网络中的一位成员给此用户一个低投入但高回报的投资机会，该网络其它成员也强烈建议将此投资机会给该用户，也有一些成员建议该用户抓住此投资机会。而如果你真的进行投资的话，你就会发现你被欺骗了。

“陷阱网络”指一些可以自由接入并且会产生网络诈骗的无线网络或社交网络。该网络的成员都是别有用心的，他们勾结在一起来引诱和欺骗受害者。诈骗罪在很多国家都是重罪。不幸的是，这类问题几乎每天都发生。因为相关识别方法的缺乏，它很难被我们检测出来。

发明内容

本发明正是为了克服上述现有技术存在的缺陷和不足之处，为了解决日益复杂的普适计算网络环境中存在的陷阱网络问题，提供一个在普适计算环境下通过网络异常事件监测和网络成员亲密度测量来发现陷阱网络的方法。该方法提出了一个基于网络风险系数的陷阱网络识别模型。通过检测陷阱网络特定的网络行为模式和网络成员亲密度程度来衡量加入该网络的风险，当人们加入一个未知的网络时，我们就检测异常事件，如果出现了异常事件，那么我们就测算这些提出建议的成员之间的亲密程度并计算出该网络的风险系数，然后根据不同级别的风险发出不同级别的警告。给用户提供可靠的安全保障，还不影响用户正常接入网络，用户既可以享受无处不在的网络带来的便利又不用担心随之而来的风险。

本发明的目的是通过如下技术方案来实现的。

基于异常行为监测和成员亲密度测量的陷阱网络检测方法，本发明特征在于，步骤如下：

1)、网络事件监测

当用户要接入一个陌生网络的时候，网络服务器系统监测该网络产生的事件，事件E被定义为向量E：＝F_c＝{F₁，F₂，F₃...F_n}，n是属性的数量；这些属性包括事件发生的时间，地点，参与成员，金额的多维信息，然后在服务器数据库中更新事件的历史记录；由于不同属性对事件的影响也会有不同，属性的影响力将被量化为不同的权重:

2)、网络异常事件监测

计算当前事件向量和历史事件向量之间的距离，并将此作为网络事件异常系数；第一步：如果事件数量为1，那么个人网络异常事件系数计算公式为：C_a＝Dis(F_c，F_r)，其中，Dis(F_c，F_r)＝||aF_c-aF_r||，其中，||·||代表向量之间的距离，F_r是历史事件属性；第二步：如果事件数量超过1，采用常见的如k-mean或k-median聚类算法，将这些事件向量分为M类，并存储在数据服务器中，如果新的事件数量到达一个阈值后再进行重新聚簇；当监测到一个新事件后，计算新事件与每个簇中心的距离，这些距离中最短的一个将被设定为当前网络事件的异常系数，记为C_a，C_a＝argMin(D)，其中：D＝Dis(F_c，F_irc)，i∈{1，2，3，...M}，M∈R，这里F_irc代表第i个聚簇中心。

3)网络用户亲密度测量

根据步骤2判断出的异常事件，接着进一步测量该网络中所有向用户进行过推荐的成员之间的亲密度M＝{m1,…}；方法是，收集一段时间内(实验中采用5天)这些成员之间的语音或者文本信息交流内容，语音则用语音识别技术转换为文本，利用Lovins算法进行主题合并和除梗预处理，将文本分割成为基本的词，通过统计词频，将文本转换成词频集合T:＝{(c₁,w₁),(c₂,w₂)…}，其中权重w_i表示词t_i在整个文本中出现的频率；根据具体事件的描述给出一个语义维度d，对于一个给定的片段c，其权值通过测量c和d之间的关联性得出：map(c,d)＝rel(c,d)；当rel(c,d)的值低于一个给定的阈值λ，将其置为0，以过滤噪音，而一段时间的交谈的总分是对应文本中所有映射的语言片段的得分的总和；

$\mathrm{score}\left(t\right)=\underset{(c_i,w_i\∈T)}{\mathrm{\Σ}}{w}_i\mathrm{map}(c_i,d)$

所有推荐成员M＝{m1,…}间的亲密度就是总分的平均值UM(t)；

$\mathrm{closeness}(M,t)=\frac{\mathrm{score}\left(t\right)}{\left|M\right|}.$

4)网络事件风险系数计算

根据步骤3的计算结果，综合网络异常事件系数和网络成员间亲密度系数来计算网络危险系数：

R_t＝W_tC_a+(1-W_t)Closeness(M)

其中，R_t是陷阱网络的风险系数，C_a是网络异常事件系数，P是成员亲密度系数，W_t是C_a的权重。

5)网络陷阱预警

根据步骤4的计算结果，设定多个阈值来判定风险的级别，同时根据风险系数R_t来向用户发出警告信息或者对他提出建议；第一级别风险：如果风险系数的值低于0.2，这代表着该网络符合历史网络事件，人们可以信任这个网络；第二级别风险：如果风险系数级别的值在0.2和0.5之间，那么用户就需要在安全模式下接入这个网络，并且要有选择地接受信息；第三级别风险：如果风险系数级别的值在0.5至0.8之间，那就表明这个网络中包含重大风险，用户需要限制与网络其它成员的联系，系统也会在每次信息交换时发出警告信息；第四级别风险：如果风险系数值高于0.8，那就表明这个网络完全不可信任，系统会终止接入该网络并且发出积极警告。

本发明的有益效果是，提供一个在普适计算环境下通过网络异常事件监测和网络成员亲密度测量来发现陷阱网络的方法。该方法提出了一个基于网络风险系数的陷阱网络识别模型。通过检测陷阱网络特定的网络行为模式和网络成员亲密度程度来衡量加入该网络的风险，当人们加入一个未知的网络时，我们就检测异常事件，如果出现了异常事件，那么我们就测算这些提出建议的成员之间的亲密程度并计算出该网络的风险系数，然后根据不同级别的风险发出不同级别的警告。给用户提供可靠的安全保障，还不影响用户正常接入网络，用户既可以享受无处不在的网络带来的便利又不用担心随之而来的风险。

附图说明

图1是本发明基于异常行为监测和成员亲密度测量的陷阱网络检测方法的总体框架图；

图2是本发明基于异常行为监测和成员亲密度测量的陷阱网络检测方法流程图；

图3是本发明网络事件检测流程图。

具体实施方式

现结合附图对本发明作进一步描述，参考附图1、图2和图3，具体的实施步骤如下：

1).网络事件监测

当用户要接入一个陌生网络的时候，系统监测该网络产生的事件，事件E被定义为向量E：＝F_c＝{F₁，F₂，F₃...F_n}，n是属性的数量。这些属性包括事件发生的时间，地点，参与成员，金额和其它多维信息，然后在服务器数据库中更新事件的历史记录。考虑到不同属性对事件的影响可能也会有显著的不同，属性的影响力将被量化为不同的权重:

2).网络异常事件检测

计算当前事件向量和历史事件向量之间的距离，并将此作为网络事件异常系数。第一步：如果事件数量为1，那么个人网络异常事件系数计算公式为：C_a＝Dis(F_c，F_r)，其中，Dis(F_c，F_r)＝||aF_c-aF_r||，其中，||·||代表向量之间的距离，F_r是历史事件属性。第二步：如果事件数量超过1，采用常见的聚类算法(例如k-mean和k-median)将这些事件向量分为M类，并存储在数据服务器中(如果新的事件数量到达一个阈值后再进行重新聚簇)。当监测到一个新事件后，计算新事件与每个簇中心的距离，这些距离中最短的一个将被设定为当前网络事件的异常系数，记为C_a，C_a＝argMin(D)，其中：D＝Dis(F_c，F_irc)，i∈{1，2，3，...M}，M∈R，这里F_irc代表第i个聚簇中心。网络异常事件检测流程如图3所示。

3).网络用户亲密度测量

根据步骤2判断出异常事件，接着进一步测量该网络中所有向用户进行过推荐的成员之间的亲密度M＝{m1,…}。基本思想是，收集一段时间内这些成员之间的交流内容(语音或者文本信息，语音则用语音识别技术转换为文本)，利用Lovins算法进行主题合并和除梗预处理，将文本分割成为基本的词，通过统计词频，将文本转换成词频集合T:＝{(c₁,w₁),(c₂,w₂)…}，其中权重w_i表示词t_i在整个文本中出现的频率。根据具体事件的描述给出一个语义维度d，对于一个给定的片段c，其权值通过测量c和d之间的关联性得出：map(c,d)＝rel(c,d)。当rel(c,d)的值低于一个给定的阈值λ，将其置为0，以过滤噪音，而一段时间的交谈的总分是对应文本中所有映射的语言片段的得分的总和。

$\mathrm{score}\left(t\right)=\underset{(c_i,w_i\∈T)}{\mathrm{\Σ}}{w}_i\mathrm{map}(c_i,d)$

所有推荐成员M＝{m1,…}间的亲密度就是总分的平均值UM(t)；

$\mathrm{closeness}(M,t)=\frac{\mathrm{score}\left(t\right)}{\left|M\right|};$

4).网络事件风险系数计算

根据步骤3的计算结果，综合网络异常事件系数和网络成员间亲密度系数来计算网络危险系数：

R_t＝W_tC_a+(1-W_t)Closeness(M)

其中，R_t是陷阱网络的风险系数，C_a是网络异常事件系数，P是成员亲密度系数，W_t是C_a的权重。

5).陷阱网络预警

根据步骤4的计算结果，设定多个阈值来判定风险的级别，同时根据风险系数R_t来向用户发出警告信息或者对他提出建议。第一级别风险：如果风险系数的值低于0.2，这代表着该网络符合历史网络事件，人们可以信任这个网络。第二级别风险：如果风险系数级别的值在0.2和0.5之间，那么用户就需要在安全模式下接入这个网络，并且要有选择地接受信息。第三级别风险：如果风险系数级别的值在0.5至0.8之间，那就表明这个网络中包含重大风险，用户需要限制与网络其它成员的联系，系统也会在每次信息交换时发出警告信息。第四级别风险：如果风险系数值高于0.8，那就表明这个网络完全不可信任，系统会终止接入该网络并且发出积极警告。

Claims (1)

1.基于异常行为监测和成员亲密度测量的陷阱网络检测方法，其特征在于，步骤如下：

1)、网络事件监测

当用户要接入一个陌生网络的时候，该网络的服务器系统监测该网络产生的事件，事件E被定义为向量E：＝F_c＝{F₁，F₂，F₃...F_n}，n是属性的数量；这些属性包括事件发生的时间，地点，参与成员，金额的多维信息，然后在服务器数据库中更新事件的历史记录；由于不同属性对事件的影响也会有不同，属性的影响力将被量化为不同的权重：

2)、网络异常事件监测

计算当前事件向量和历史事件向量之间的距离，并将此作为网络事件异常系数；第一步：如果事件数量为1，那么个人网络异常事件系数计算公式为：C_a＝Dis(F_c，F_r)，其中，Dis(F_c，F_r)＝||aF_c-aF_r||，其中，||·||代表向量之间的距离，F_r是历史事件属性；第二步：如果事件数量超过1，采用常见的聚类算法，将这些事件向量分为M类，并存储在数据服务器中，如果新的事件数量到达一个阈值后再进行重新聚簇；当监测到一个新事件后，计算新事件与每个簇中心的距离，这些距离中最短的一个将被设定为当前网络事件的异常系数，记为C_a，C_a＝argMin(D)，其中：D＝Dis(F_c，F_irc)，i∈{1，2，3，...M}，M∈R，这里F_irc代表第i个聚簇中心；

3)网络用户亲密度测量

根据步骤2判断出的异常事件，接着进一步测量该网络中所有向用户进行过推荐的成员之间的亲密度M＝{m1，...}；方法是，收集一段时间内这些成员之间的语音或者文本信息交流内容，语音则用语音识别技术转换为文本，利用Lovins算法进行主题合并和除梗预处理，将文本分割成为基本的词，通过统计词频，将文本转换成词频集合T：＝{(c₁，w₁)，(c₂，w₂)…}，其中权重w_i表示词t_i在整个文本中出现的频率；根据具体事件的描述给出一个语义维度d，对于一个给定的片段c，其权值通过测量c和d之间的关联性得出：map(c，d)＝rel(c，d)；当rel(c，d)的值低于一个给定的阈值λ，将其置为0，以过滤噪音，而一段时间的交谈的总分是对应文本中所有映射的语言片段的得分的总和；

$\mathrm{score}\left(t\right)=\underset{(c_i,w_i\∈T)}{\mathrm{\Σ}}{w}_i\mathrm{map}(c_i,d)$

所有推荐成员M＝{m1，...}间的亲密度就是总分的平均值UM(t)；

$\mathrm{closeness}(M,t)=\frac{\mathrm{score}\left(t\right)}{\left|M\right|};$

4)网络事件风险系数计算

根据步骤3的计算结果，综合网络异常事件系数和网络成员间亲密度系数来计算网络危险系数：

R_t＝W_tC_a+(1-W_t)Closeness(M)

其中，R_t是陷阱网络的风险系数，C_a是网络异常事件系数，P是成员亲密度系数，W_t是C_a的权重；

5)网络陷阱预警

根据步骤4的计算结果，设定多个阈值来判定风险的级别，同时根据风险系数R_t来向用户发出警告信息或者对他提出建议；第一级别风险：如果风险系数的值低于0.2，这代表着该网络符合历史网络事件，人们可以信任这个网络；第二级别风险：如果风险系数级别的值在0.2和0.5之间，那么用户就需要在安全模式下接入这个网络，并且要有选择地接受信息；第三级别风险：如果风险系数级别的值在0.5至0.8之间，那就表明这个网络中包含重大风险，用户需要限制与网络其它成员的联系，系统也会在每次信息交换时发出警告信息；第四级别风险：如果风险系数值高于0.8，那就表明这个网络完全不可信任，系统会终止接入该网络并且发出积极警告。